“QNAP อุดช่องโหว่ร้ายแรงใน NetBak Replicator และ Qsync Central — เสี่ยงรันโค้ดจากระยะไกลและ SQL Injection”
QNAP ผู้ผลิตระบบ NAS ที่ได้รับความนิยมในองค์กรและผู้ใช้ทั่วไป ได้ออกประกาศด้านความปลอดภัยล่าสุดเมื่อเดือนตุลาคม 2025 โดยระบุว่ามีช่องโหว่ร้ายแรงหลายรายการในซอฟต์แวร์สองตัว ได้แก่ NetBak Replicator และ Qsync Central ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล หรือโจมตีระบบผ่านช่องโหว่ SQL Injection ได้
ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-57714 ใน NetBak Replicator ซึ่งมีคะแนน CVSS สูงถึง 8.5 โดยเกิดจากการกำหนด path ที่ไม่ปลอดภัยใน Windows ทำให้ผู้โจมตีสามารถแทรกไฟล์ .exe อันตรายไว้ในตำแหน่งที่ระบบจะเรียกใช้โดยอัตโนมัติเมื่อเปิดโปรแกรม ส่งผลให้สามารถรันโค้ดโดยไม่ต้องมีสิทธิ์ระดับสูง
ในส่วนของ Qsync Central ซึ่งเป็นเครื่องมือซิงก์ไฟล์ข้าม NAS หลายเครื่อง พบช่องโหว่รวม 5 รายการ ได้แก่:
การจัดสรรทรัพยากรโดยไม่มีการควบคุม (CVE-2025-44012)
NULL pointer dereference ที่อาจทำให้ระบบล่ม (CVE-2025-47210)
การใช้ทรัพยากรเกินขอบเขต (CVE-2025-52867)
ช่องโหว่ SQL Injection สองรายการ (CVE-2025-53595 และ CVE-2025-54153) ซึ่งมีคะแนน CVSS สูงถึง 8.6 และสามารถใช้รันโค้ดหรือขโมยข้อมูลได้ หากระบบเปิดให้เข้าถึงจากอินเทอร์เน็ต
QNAP ได้ออกแพตช์แก้ไขแล้วใน NetBak Replicator เวอร์ชัน 4.5.15.0807 และ Qsync Central เวอร์ชัน 5.0.0.2 โดยแนะนำให้ผู้ใช้เข้าสู่ระบบ QTS หรือ QuTS hero แล้วอัปเดตผ่าน App Center ทันที พร้อมคำแนะนำเพิ่มเติมให้จำกัดสิทธิ์บัญชีผู้ใช้ และหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-57714 ใน NetBak Replicator มีคะแนน CVSS 8.5
เกิดจาก path ที่ไม่ปลอดภัยใน Windows ทำให้สามารถรันไฟล์อันตรายได้
ช่องโหว่ถูกแก้ไขในเวอร์ชัน 4.5.15.0807
Qsync Central มีช่องโหว่รวม 5 รายการที่กระทบต่อความเสถียรและความปลอดภัย
ช่องโหว่ SQL Injection ใน Qsync Central มีคะแนน CVSS สูงถึง 8.6
ช่องโหว่ทั้งหมดถูกแก้ไขในเวอร์ชัน 5.0.0.2
QNAP แนะนำให้อัปเดตผ่าน App Center และตรวจสอบสิทธิ์บัญชีผู้ใช้
คำแนะนำเพิ่มเติมคือหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก
ข้อมูลเสริมจากภายนอก
NetBak Replicator เป็นเครื่องมือสำรองข้อมูลจาก Windows ไปยัง NAS
Qsync Central ใช้สำหรับซิงก์ไฟล์ข้ามอุปกรณ์ NAS หลายตัว
ช่องโหว่ SQL Injection เป็นหนึ่งในวิธีโจมตีที่ใช้กันมากที่สุดในระบบฐานข้อมูล
การจัดการ path ใน Windows ต้องระวังการใช้เครื่องหมายคำพูดเพื่อป้องกันการ hijack
CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่จาก 0–10
https://securityonline.info/qnap-fixes-high-severity-flaws-netbak-replicator-rce-and-sql-injection-in-qsync-central/
QNAP ผู้ผลิตระบบ NAS ที่ได้รับความนิยมในองค์กรและผู้ใช้ทั่วไป ได้ออกประกาศด้านความปลอดภัยล่าสุดเมื่อเดือนตุลาคม 2025 โดยระบุว่ามีช่องโหว่ร้ายแรงหลายรายการในซอฟต์แวร์สองตัว ได้แก่ NetBak Replicator และ Qsync Central ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล หรือโจมตีระบบผ่านช่องโหว่ SQL Injection ได้
ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-57714 ใน NetBak Replicator ซึ่งมีคะแนน CVSS สูงถึง 8.5 โดยเกิดจากการกำหนด path ที่ไม่ปลอดภัยใน Windows ทำให้ผู้โจมตีสามารถแทรกไฟล์ .exe อันตรายไว้ในตำแหน่งที่ระบบจะเรียกใช้โดยอัตโนมัติเมื่อเปิดโปรแกรม ส่งผลให้สามารถรันโค้ดโดยไม่ต้องมีสิทธิ์ระดับสูง
ในส่วนของ Qsync Central ซึ่งเป็นเครื่องมือซิงก์ไฟล์ข้าม NAS หลายเครื่อง พบช่องโหว่รวม 5 รายการ ได้แก่:
การจัดสรรทรัพยากรโดยไม่มีการควบคุม (CVE-2025-44012)
NULL pointer dereference ที่อาจทำให้ระบบล่ม (CVE-2025-47210)
การใช้ทรัพยากรเกินขอบเขต (CVE-2025-52867)
ช่องโหว่ SQL Injection สองรายการ (CVE-2025-53595 และ CVE-2025-54153) ซึ่งมีคะแนน CVSS สูงถึง 8.6 และสามารถใช้รันโค้ดหรือขโมยข้อมูลได้ หากระบบเปิดให้เข้าถึงจากอินเทอร์เน็ต
QNAP ได้ออกแพตช์แก้ไขแล้วใน NetBak Replicator เวอร์ชัน 4.5.15.0807 และ Qsync Central เวอร์ชัน 5.0.0.2 โดยแนะนำให้ผู้ใช้เข้าสู่ระบบ QTS หรือ QuTS hero แล้วอัปเดตผ่าน App Center ทันที พร้อมคำแนะนำเพิ่มเติมให้จำกัดสิทธิ์บัญชีผู้ใช้ และหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-57714 ใน NetBak Replicator มีคะแนน CVSS 8.5
เกิดจาก path ที่ไม่ปลอดภัยใน Windows ทำให้สามารถรันไฟล์อันตรายได้
ช่องโหว่ถูกแก้ไขในเวอร์ชัน 4.5.15.0807
Qsync Central มีช่องโหว่รวม 5 รายการที่กระทบต่อความเสถียรและความปลอดภัย
ช่องโหว่ SQL Injection ใน Qsync Central มีคะแนน CVSS สูงถึง 8.6
ช่องโหว่ทั้งหมดถูกแก้ไขในเวอร์ชัน 5.0.0.2
QNAP แนะนำให้อัปเดตผ่าน App Center และตรวจสอบสิทธิ์บัญชีผู้ใช้
คำแนะนำเพิ่มเติมคือหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก
ข้อมูลเสริมจากภายนอก
NetBak Replicator เป็นเครื่องมือสำรองข้อมูลจาก Windows ไปยัง NAS
Qsync Central ใช้สำหรับซิงก์ไฟล์ข้ามอุปกรณ์ NAS หลายตัว
ช่องโหว่ SQL Injection เป็นหนึ่งในวิธีโจมตีที่ใช้กันมากที่สุดในระบบฐานข้อมูล
การจัดการ path ใน Windows ต้องระวังการใช้เครื่องหมายคำพูดเพื่อป้องกันการ hijack
CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่จาก 0–10
https://securityonline.info/qnap-fixes-high-severity-flaws-netbak-replicator-rce-and-sql-injection-in-qsync-central/
🛠️ “QNAP อุดช่องโหว่ร้ายแรงใน NetBak Replicator และ Qsync Central — เสี่ยงรันโค้ดจากระยะไกลและ SQL Injection”
QNAP ผู้ผลิตระบบ NAS ที่ได้รับความนิยมในองค์กรและผู้ใช้ทั่วไป ได้ออกประกาศด้านความปลอดภัยล่าสุดเมื่อเดือนตุลาคม 2025 โดยระบุว่ามีช่องโหว่ร้ายแรงหลายรายการในซอฟต์แวร์สองตัว ได้แก่ NetBak Replicator และ Qsync Central ซึ่งอาจเปิดช่องให้ผู้โจมตีสามารถรันโค้ดจากระยะไกล หรือโจมตีระบบผ่านช่องโหว่ SQL Injection ได้
ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2025-57714 ใน NetBak Replicator ซึ่งมีคะแนน CVSS สูงถึง 8.5 โดยเกิดจากการกำหนด path ที่ไม่ปลอดภัยใน Windows ทำให้ผู้โจมตีสามารถแทรกไฟล์ .exe อันตรายไว้ในตำแหน่งที่ระบบจะเรียกใช้โดยอัตโนมัติเมื่อเปิดโปรแกรม ส่งผลให้สามารถรันโค้ดโดยไม่ต้องมีสิทธิ์ระดับสูง
ในส่วนของ Qsync Central ซึ่งเป็นเครื่องมือซิงก์ไฟล์ข้าม NAS หลายเครื่อง พบช่องโหว่รวม 5 รายการ ได้แก่:
🐛 การจัดสรรทรัพยากรโดยไม่มีการควบคุม (CVE-2025-44012)
🐛 NULL pointer dereference ที่อาจทำให้ระบบล่ม (CVE-2025-47210)
🐛 การใช้ทรัพยากรเกินขอบเขต (CVE-2025-52867)
🐛 ช่องโหว่ SQL Injection สองรายการ (CVE-2025-53595 และ CVE-2025-54153) ซึ่งมีคะแนน CVSS สูงถึง 8.6 และสามารถใช้รันโค้ดหรือขโมยข้อมูลได้ หากระบบเปิดให้เข้าถึงจากอินเทอร์เน็ต
QNAP ได้ออกแพตช์แก้ไขแล้วใน NetBak Replicator เวอร์ชัน 4.5.15.0807 และ Qsync Central เวอร์ชัน 5.0.0.2 โดยแนะนำให้ผู้ใช้เข้าสู่ระบบ QTS หรือ QuTS hero แล้วอัปเดตผ่าน App Center ทันที พร้อมคำแนะนำเพิ่มเติมให้จำกัดสิทธิ์บัญชีผู้ใช้ และหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก
✅ ข้อมูลสำคัญจากข่าว
➡️ ช่องโหว่ CVE-2025-57714 ใน NetBak Replicator มีคะแนน CVSS 8.5
➡️ เกิดจาก path ที่ไม่ปลอดภัยใน Windows ทำให้สามารถรันไฟล์อันตรายได้
➡️ ช่องโหว่ถูกแก้ไขในเวอร์ชัน 4.5.15.0807
➡️ Qsync Central มีช่องโหว่รวม 5 รายการที่กระทบต่อความเสถียรและความปลอดภัย
➡️ ช่องโหว่ SQL Injection ใน Qsync Central มีคะแนน CVSS สูงถึง 8.6
➡️ ช่องโหว่ทั้งหมดถูกแก้ไขในเวอร์ชัน 5.0.0.2
➡️ QNAP แนะนำให้อัปเดตผ่าน App Center และตรวจสอบสิทธิ์บัญชีผู้ใช้
➡️ คำแนะนำเพิ่มเติมคือหลีกเลี่ยงการเปิดพอร์ต NAS สู่ภายนอก
✅ ข้อมูลเสริมจากภายนอก
➡️ NetBak Replicator เป็นเครื่องมือสำรองข้อมูลจาก Windows ไปยัง NAS
➡️ Qsync Central ใช้สำหรับซิงก์ไฟล์ข้ามอุปกรณ์ NAS หลายตัว
➡️ ช่องโหว่ SQL Injection เป็นหนึ่งในวิธีโจมตีที่ใช้กันมากที่สุดในระบบฐานข้อมูล
➡️ การจัดการ path ใน Windows ต้องระวังการใช้เครื่องหมายคำพูดเพื่อป้องกันการ hijack
➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่จาก 0–10
https://securityonline.info/qnap-fixes-high-severity-flaws-netbak-replicator-rce-and-sql-injection-in-qsync-central/
0 Comments
0 Shares
60 Views
0 Reviews
Thai